송장 알림·급여명세서 등으로 위장한 직장인 타깃 악성메일 주의보
[아시아경제 김철현 기자] 직장인을 타깃으로 한 해커들의 공격이 기승을 부리고 있다. 직장인들이 의심 없이 다운로드 받는 급여명세서 등으로 위장한 악성 메일이 무작위로 발송되고 있는 것이다.
3일 보안 업계에 따르면 최근 직장 내 PC사용자들에게 위장 메일을 전송하고 악성 파일 다운로드를 유도하는 사례가 발견됐다. 공격자는 국내 기업을 대상으로 송장 파일 공유나 급여명세서 등을 위장한 악성 메일을 무작위로 발송했다. 해당 메일에는 악성 엑셀 파일 공유 다운로드 URL이 포함되어 있거나 파일이 직접 첨부돼 있었다.
최근 발견된 급여명세서를 위장한 악성메일에서 공격자는 의심을 피하기 위해 특정인의 이름을 송신자로 설정했다. 또 메일 본문에는 '한 달 동안 수고 많으셨습니다', '경조금 처리 완료' 등의 문구를 넣어 사용자 의심을 피하고 악성 매크로 사용을 유도하는 엑셀 문서를 직접 첨부했다. 특히 국내 기업이 급여를 지급하는 25일 등 시기에 맞춰 급여명세서로 위장한 메일과 악성 파일이 배포됐다.
첨부된 엑셀 문서를 열면, 엑셀 프로그램 화면 상단 보안경고 창의 '콘텐츠 사용' 버튼을 클릭하도록 유도하는 안내가 노출된다. 만약 이 버튼을 클릭하게 되면 해커가 사전에 설정해둔 매크로 언어인 'VBA'가 실행되고 악성파일을 사용자 PC에 자동으로 내려 받는다. 해당 파일은 감염된 PC의 컴퓨터 이름, 사용자 이름, 운영체제(OS), 실행 중인 프로세스 목록 등 다양한 시스템 정보를 해커에게 전송하며 해커에 명령에 따라 추가적인 악성 파일을 내려받는 다운로더 기능도 갖추고 있다.
송장 파일공유 위장 메일의 경우 공격자는 특정 회계법인을 사칭해 '송장파일 공유' 메일을 보냈다. 메일 본문에는 'OO회계법인이 송장 파일공유를 위해 회원님을 초대했다'는 메시지와 드롭박스를 사칭한 파일 다운로드 URL이 포함돼 있다. 공격자는 실제 드롭박스의 로고와 동일한 이미지를 사용했다. 사용자가 해당 URL을 클릭하면 가짜 송장 엑셀파일이 다운로드된다. 해당 파일을 실행하면 '내용을 보려면 콘텐츠 사용을 클릭하라'는 메시지가 뜨고 이를 누르면 PC가 악성코드에 감염된다. 이 악성코드는 사용자 몰래 서버에 접속해 컴퓨터 이름과 사용자 이름, 운영체제 등의 정보를 공격자에게 전송한다. 뿐만 아니라 추가 악성코드도 설치할 수 있다.
이재진 안랩 ASEC 분석팀 연구원은 "공격자는 사용자의 의심을 피하기 위해 메일 내용과 악성파일 유포 방식을 지속적으로 변경한다"며 "따라서 평소 출처가 불분명한 메일의 발신자를 꼭 확인하고 첨부파일 실행을 자제하는 등 기본 보안 수칙을 지키는 것이 중요하다"고 강조했다.
김철현 기자 kch@asiae.co.kr
꼭 봐야할 주요뉴스
올해도 일본이 1위할 줄 알았는데…한국인 연말 여... 마스크영역<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>